劉琪

【摘 要】論文從實用角度出發(fā)，通過安全態(tài)勢感知系統(tǒng)發(fā)現(xiàn)安全事件的脈絡(luò)，以及安全事件產(chǎn)生原因和溯源；提供網(wǎng)絡(luò)攻擊的發(fā)展趨勢信息；并且輔助決策優(yōu)先處理網(wǎng)絡(luò)中重要系統(tǒng)的脆弱性，加固網(wǎng)絡(luò)中的主機和服務(wù)器，保護客戶的業(yè)務(wù)連續(xù)性，本文提出一種新的技術(shù)或新的安全解決方案，來應(yīng)對由于系統(tǒng)漏洞而引發(fā)的安全風險。從而保障電力終端微機的安全防護水平。

【關(guān)鍵詞】安全態(tài)勢感知 關(guān)聯(lián)分析 數(shù)據(jù)挖掘

隨著電力行業(yè)計算機和通信技術(shù)的迅速發(fā)展，伴隨著用戶需求的不斷增加，計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛，其規(guī)模也越來越龐大。同時，網(wǎng)絡(luò)安全事件層出不窮，使得計算機網(wǎng)絡(luò)面臨著嚴峻的信息安全形勢，傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全態(tài)勢感知（NSSA）技術(shù)能夠綜合各方面的安全因素，從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況，并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警，為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此，針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點。

1 安全態(tài)勢感知技術(shù)

態(tài)勢感知的定義：一定時間和空間內(nèi)環(huán)境因素的獲取，理解和對未來短期的預(yù)測。

網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中，對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當前狀態(tài)和變化趨勢。

國外在網(wǎng)絡(luò)安全態(tài)勢感知方面正做著積極的研究，比較有代表性的，如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢感知的框架，通過推理識別入侵者身份、速度、威脅性和入侵目標，進而評估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)概念進行了分析比較研究，并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等。

國內(nèi)在這方面的研究起步較晚，近年來也有單位在積極探索。馮毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā)，闡述了我軍積極開展網(wǎng)絡(luò)態(tài)勢感知研究的必要性和重要性，并指出了兩項關(guān)鍵技術(shù)—多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘；北京理工大學(xué)機電工程與控制國家蕈點實驗窒網(wǎng)絡(luò)安全分室在分析博弈論中模糊矩陣博弈原理和網(wǎng)絡(luò)空間威脅評估機理的基礎(chǔ)上，提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評估模型及其分析方法，并給出了計算實例與研究展望；哈爾濱工程大學(xué)提出關(guān)于入侵檢測的數(shù)據(jù)挖掘框架；國防科技大學(xué)提出大規(guī)模網(wǎng)絡(luò)的入侵檢測；文獻中提到西安交通大學(xué)網(wǎng)絡(luò)化系統(tǒng)與信息安全研究中心和清華大學(xué)智能與網(wǎng)絡(luò)化系統(tǒng)研究中心研究提出的基于入侵檢測系統(tǒng)（intrusiondetectionsystem，IDS）的海量報警信息和網(wǎng)絡(luò)性能指標，結(jié)合服務(wù)、主機本身的重要性及網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu)，提出采用自下而上、先局部后整體評估策略的層次化安全威脅態(tài)勢量化評估方法，并采用該方法在報警發(fā)生頻率、報警嚴重性及其網(wǎng)絡(luò)帶寬耗用率的統(tǒng)計基礎(chǔ)上，對服務(wù)、主機本身的重要性因子進行加權(quán)，計算服務(wù)、主機以及整個網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù)，進而評估分析安全威脅態(tài)勢。其他研究工作主要是圍繞入侵檢測、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評估等方面開展的，這為開展網(wǎng)絡(luò)安全態(tài)勢感知研究奠定了一定的基礎(chǔ)。

2 安全策略管理系統(tǒng)的總體設(shè)計

本文中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，數(shù)據(jù)源目前主要是掃描、蜜網(wǎng)、手機病毒和DDoS流量檢測及僵木蠕檢測系統(tǒng)，其中手機病毒檢測主要是感染手機號和疑似URL信息；DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源；僵木蠕系統(tǒng)則能夠提供僵尸IP、掛馬網(wǎng)站和控制主機信息；掃描器能夠提供主機和網(wǎng)站脆弱性等信息，并可以部分驗證；蜜網(wǎng)可以提供攻擊源、樣本和攻擊目標和行為。根據(jù)以上數(shù)據(jù)源信息通過關(guān)聯(lián)分析技術(shù)生成各類關(guān)聯(lián)分析后事件，把事件通過安全策略管理和任務(wù)調(diào)度管理進行分配，最終通過管理門戶進行呈現(xiàn)。系統(tǒng)的結(jié)構(gòu)描述如下。

（1）管理門戶主要包括：儀表盤、關(guān)聯(lián)事件、綜合查詢視圖、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能。

（2）安全策略管理主要包括安全策略管理和指標管理。

（3）關(guān)聯(lián)分析根據(jù)采集平臺采集到的DDOS、僵木蠕、手機病毒、蜜網(wǎng)和IPS事件通過規(guī)則關(guān)聯(lián)分析、統(tǒng)計關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類關(guān)聯(lián)分析后事件。

（4）任務(wù)管理包括任務(wù)的自動生成、手動生成、任務(wù)下發(fā)和任務(wù)核查等功能。

（5）數(shù)據(jù)庫部分存儲原始事件、關(guān)聯(lián)分析后事件、各種策略規(guī)則和不同的安全知識庫。

（6）新資產(chǎn)發(fā)現(xiàn)模塊。

3 系統(tǒng)組成結(jié)構(gòu)

安全態(tài)勢感知平臺系統(tǒng)結(jié)構(gòu)如圖1所示。

3.1 管理門戶

管理門戶集成了系統(tǒng)的一些摘要信息、個人需要集中操作/處理的功能部分；它包括態(tài)勢儀表盤（Dashboard）、個人工作臺、綜合查詢視圖、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能。

（1）態(tài)勢儀表盤提供了監(jiān)控范圍內(nèi)的整體安全態(tài)勢整體展現(xiàn)，以地圖形式展現(xiàn)網(wǎng)絡(luò)安全形勢，詳細顯示低于的安全威脅、弱點和風險情況，展示完成的掃描任務(wù)情況和掃描發(fā)現(xiàn)的漏洞的基本情況，系統(tǒng)層面的掃描和web掃描分開展示，展示新設(shè)備上線及其漏洞的發(fā)現(xiàn)。

（2）個人工作臺關(guān)聯(lián)事件分布地圖以全國地圖的形式向用戶展現(xiàn)當前系統(tǒng)內(nèi)關(guān)聯(lián)事件的情況——每個地域以關(guān)聯(lián)事件的不同級別（按最高）顯示其情況，以列表的形式向用戶展現(xiàn)系統(tǒng)內(nèi)的關(guān)聯(lián)事件。

（3）綜合查詢視圖包含關(guān)聯(lián)事件的查詢和漏洞查詢。關(guān)聯(lián)事件的查詢可以通過指定的字段對事件的相關(guān)信息進行查詢。漏洞查詢的查詢條件：包括時間段、IP段（可支持多個段同時查詢）、漏洞名稱、級別等；結(jié)果以IP為列表，點擊詳情可按時間倒序查詢歷史掃描。